亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        運營級NAT44系統(tǒng)部署探討

        2015-05-30 22:04:35張鉦林
        中國新通信 2015年2期
        關(guān)鍵詞:IP地址

        張鉦林

        【摘要】 隨著全球IPv4地址分配完畢,IP地址短缺問題日益嚴(yán)重。鑒于IPv6的規(guī)模應(yīng)用尚需時日,為正常發(fā)展業(yè)務(wù),運營商在網(wǎng)絡(luò)中引入了NAT44部署。本文針對NAT44部署相關(guān)策略、路由策略、用戶溯源等進行分析,并給出相應(yīng)的部署建議。

        【關(guān)鍵詞】 IP地址 NAT44 用戶溯源

        一、前言

        隨著互聯(lián)網(wǎng)快速發(fā)展、智能終端的大量出現(xiàn),對IP地址需求越來越大,現(xiàn)有IPv4地址已難以支撐網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展需求,2011年2月互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)公布全球IPv4地址已分配完畢,由于歷史原因,中國所擁有的IPv4地址資源有限(截止2010年6月IPv4地址數(shù)量約2.5億,遠(yuǎn)落后于當(dāng)時4.2億網(wǎng)民的需求),IPv4地址不足已成為國內(nèi)各運營商業(yè)務(wù)發(fā)展關(guān)鍵瓶頸。

        由于IPv6規(guī)模商用尚需時日,為解決用戶發(fā)展與IP地址不足間的矛盾,運營商需要在網(wǎng)絡(luò)內(nèi)部署NAT44,運營級NAT44的部署可有效擴展公有IP地址使用效率,解決用戶地址不足的問題。本文通過結(jié)合某運營商現(xiàn)網(wǎng)運維的經(jīng)驗,對運營級NAT44的部署方案,路由策略、端口及IP地址使用策略,以及用戶溯源等進行探討。

        二、運營級NAT44系統(tǒng)組成

        在運營級NAT44系統(tǒng)中,主要由NAT設(shè)備、BRAS(AC)、AAA、DPI、日志系統(tǒng)(Log Server)、等構(gòu)成如圖1的拓?fù)浣Y(jié)構(gòu):

        圖1 NAT44架構(gòu)

        網(wǎng)絡(luò)設(shè)備:

        NAT設(shè)備:提供運營商級的NAT轉(zhuǎn)換功能,將用戶私有地址轉(zhuǎn)換為公有地址,同時需要將NAT轉(zhuǎn)換日志上傳給日志系統(tǒng)(Log Server)。

        BRAS:負(fù)責(zé)接入終端,并配合AAA完成用戶認(rèn)證、授權(quán)和用戶計費。

        日志留存相關(guān)設(shè)備:

        AAA:負(fù)責(zé)用戶認(rèn)證、授權(quán)和計費,記錄和維護用戶計費和賬號等信息。AAA服務(wù)器可記錄用戶私有地址與賬號的對應(yīng)關(guān)系。

        DPI(Deep Packet Inspection,深度包檢測):負(fù)責(zé)完成用戶URL記錄的抓取,并上傳給Log Server。

        日志系統(tǒng)(Log Server):接收和記錄用戶訪問信息、NAT日志和Radius日志,生成用戶溯源信息。

        三、NAT設(shè)備主要部署方案

        目前NAT44部署方式主要有獨立設(shè)備和插卡兩種方式:獨立NAT設(shè)備旁掛網(wǎng)絡(luò)設(shè)備,NAT插卡作為板卡插入現(xiàn)網(wǎng)設(shè)備。

        在實際部署中,NAT設(shè)備部署在IP城域網(wǎng)網(wǎng)出口或省出口層面,形成集中式部署方式;部署在BRAS或AC層面,形成分布式部署方式。

        NAT設(shè)備在運營商網(wǎng)絡(luò)中有以下三種典型部署場景:(圖2)

        省核心路由器旁掛NAT設(shè)備(適用于網(wǎng)絡(luò)未扁平化運營商):NAT設(shè)備作為獨立設(shè)備,集中式旁掛在省網(wǎng)核心路由器;

        IP城域網(wǎng)核心路由器旁掛NAT設(shè)備:NAT設(shè)備作為獨立設(shè)備,集中式旁掛在IP城域網(wǎng)核心;

        BRAS/AC分布式插NAT板卡:NAT設(shè)備作為板卡,插入B RAS、AC等設(shè)備。

        三種方式特點及應(yīng)用場景如下:

        表1 NAT設(shè)備部署方式對比

        類別 集中部署(省網(wǎng)核心旁掛) 集中部署(城域核心旁掛) 分布式插卡

        部署場景 用戶規(guī)模較小省(并發(fā)50萬以下),且網(wǎng)絡(luò)未扁平化 用戶規(guī)模較大地市(并發(fā)10萬以上) 少量地區(qū)需做NAT時(單點并發(fā)用戶在1萬以下)

        對網(wǎng)絡(luò)路由影響 一般采用策略路由引導(dǎo),僅對省核心路由器有影響 一般采用策略路由引導(dǎo),僅對城域核心路由器有影響 無影響

        可靠性 高,可實現(xiàn)session級備份,同時NAT設(shè)備間可實現(xiàn)

        N:1備份 高,可實現(xiàn)session級備份,同時NAT設(shè)備間可實現(xiàn)

        N:1備份 一般,需要同BRAS備份相結(jié)合

        標(biāo)準(zhǔn)化程度 高,源于防火墻,各運營商有相應(yīng)標(biāo)準(zhǔn),且進行了相應(yīng)集采 高,源于防火墻,各運營商有相應(yīng)標(biāo)準(zhǔn),且進行了相應(yīng)集采 和BRAS設(shè)備捆綁,透明度不高

        運營商可根據(jù)自身網(wǎng)絡(luò)特點選擇相應(yīng)部署方式,隨著運營商需要做NAT規(guī)模擴展,以及網(wǎng)絡(luò)扁平化趨勢,方式二:集中部署(城域網(wǎng)核心旁掛)將是主流架構(gòu)。下述章節(jié)將對方式二:集中部署(城域網(wǎng)核心旁掛)相關(guān)組網(wǎng)細(xì)節(jié)進行分析。

        3.1 NAT設(shè)備組網(wǎng)方式

        NAT設(shè)備旁掛于IP城域網(wǎng)核心(以下簡稱CR),在實際部署中,可根據(jù)傳輸資源選擇NAT雙歸部署或單歸屬部署,具體如下圖所示:

        圖3 NAT設(shè)備組網(wǎng)示意

        雙歸屬連接:2臺NAT設(shè)備建議分別雙歸連接到兩臺核心路由器,2臺NAT設(shè)備之間形成備份關(guān)系,此組網(wǎng)方式安全性較高,推薦采用;

        單歸屬連接:在核心路由器之間光纖資源或傳輸資源不足的情況下,可以選擇NAT設(shè)備單歸連接到核心路由器的組網(wǎng)方式。

        3.2 路由規(guī)劃建議

        (1)對于出網(wǎng)流量:

        對于出網(wǎng)流量,建議在CR上配置策略路由,對于源地址需要NAT轉(zhuǎn)換的流量,下一跳指向NAT設(shè)備,由NAT設(shè)備負(fù)責(zé)完成地址轉(zhuǎn)換;

        對于NAT轉(zhuǎn)換后的流量,通過靜態(tài)路由回注到核心路由器;

        如條件具備(現(xiàn)階段需要2臺NAT設(shè)備同廠家且同型號),建議兩臺NAT設(shè)備間開通會話同步;若兩臺NAT設(shè)備間未做會話同步,為避免同一用戶一個應(yīng)用出現(xiàn)不同公網(wǎng)IP以影響部分應(yīng)用正常使用(例如網(wǎng)銀業(yè)務(wù)),所有出網(wǎng)流量需根據(jù)源地址段(例如將各地市私網(wǎng)段劃分為2個,即IP1和IP2)在城域網(wǎng)中做流量牽引,設(shè)備正常工作時將源地址段為IP1的流量引向NAT1,源地址段為IP2的流量引向NAT2。

        (2)對于入網(wǎng)流量:

        建議動態(tài)引流方案:CR上將NAT后公網(wǎng)地址段注入到BGP路由中。

        對于NAT轉(zhuǎn)換后的流量,通過靜態(tài)路由回注到核心路由器CR。

        另外,NAT設(shè)備與核心路由器之間需要開啟IGP路由協(xié)議,僅用于通告設(shè)備Loopback地址以及內(nèi)部互聯(lián)地址。

        (3)如采用單歸屬上連方式,為實現(xiàn)NAT設(shè)備間的安全備份,還需進行以下配置:

        NAT-1與CR1,CR2與NAT -2、CR1與CR2間互聯(lián)口起ISIS(假設(shè)IGP為ISIS)單獨進程,NAT-1和NAT-2的LOOPBACK接口使能ISIS。CR1和CR2 間增配一對互聯(lián)地址,NAT設(shè)備各增配1個32位的loopback地址;

        NAT設(shè)備的上下行接口需同時關(guān)斷。

        3.3 地址及端口使用規(guī)劃建議

        建議采用端口塊固定大小方式,根據(jù)某運營商現(xiàn)網(wǎng)統(tǒng)計,平均每用戶會話數(shù)在50~120之間,超過512會話的不到2%,因此建議每個私網(wǎng)IP固定分配512個端口號(各運營商可根據(jù)實際情況調(diào)整);

        2臺NAT設(shè)備互為主備,其中正常工作時NAT-1負(fù)責(zé)IP1源地址段轉(zhuǎn)換,NAT-2負(fù)責(zé)IP2源地址段轉(zhuǎn)換;

        為避免設(shè)備故障,單臺NAT設(shè)備工作時地公網(wǎng)地址不足,NAT-1設(shè)備需為IP2預(yù)留所需公網(wǎng)地址,NAT-2設(shè)備同樣需為IP1預(yù)留所需公網(wǎng)地址。

        NAT-1和NAT-2采用不同公網(wǎng)地址段。

        四、日志溯源方案

        NAT44 部署后,用戶使用私有地址,而用戶報文在NAT轉(zhuǎn)換后的地址與實現(xiàn)源地址不同,應(yīng)用服務(wù)器只能獲得NAT轉(zhuǎn)換后的公網(wǎng)地址,且同一公網(wǎng)地址對應(yīng)多個私網(wǎng)地址,此時將無法對用戶進行精確溯源。

        根據(jù)《工業(yè)和信息化部印發(fā)<工業(yè)和信息化部關(guān)于進一步深入整治手機淫穢色情專項行動工作方案>的通知》(工信部電管〔2009〕672號)和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》(中華人民共和國國務(wù)院令2000年第292號)文件對運營商上網(wǎng)日志留存的相關(guān)要求,運營商需提供用戶完整的用戶上網(wǎng)日志。因此運營商在進行NAT44部署時,需同步部署NAT日志留存系統(tǒng)。

        4.1 基于應(yīng)用層的用戶溯源系統(tǒng)工作原理

        傳統(tǒng)用戶溯源方式一般采用Radius 日志和NAT日志合并溯源方案,采用該種方式可實現(xiàn)“用戶私網(wǎng)地址、私網(wǎng)端口號、公網(wǎng)地址、公網(wǎng)端口號、上下線時間、用戶賬號”信息的記錄,采用該方式對于現(xiàn)網(wǎng)改造較小,是運營商普遍采用方案,但也存在嚴(yán)重不足:

        該方式未記錄用戶上網(wǎng)信息(URL信息),而目前政府監(jiān)管部門一般僅提供源公網(wǎng)地址和時間段,此時運營商將無法實現(xiàn)用戶精確溯源。

        本文針對傳統(tǒng)用戶溯源方式存在不足,提出一種基于應(yīng)用層的用戶精確溯源方式,該工作原理如下:

        圖4 NAT日志溯源原理

        該方案通過在IP城域網(wǎng)出口部署DPI系統(tǒng),為確保DPI日志信息的完整,DPI系統(tǒng)的部署位置應(yīng)置于NAT系統(tǒng)之后。(注:Deep Packet Inspection,深度包檢測,是一種基于應(yīng)用層的流量檢測和控制技術(shù),通過深入讀取IP包載荷的內(nèi)容來對OSI 7層協(xié)議中的應(yīng)用層信息進行重組,從而得到整個應(yīng)用程序的內(nèi)容。)

        部署DPI系統(tǒng)后,相關(guān)系統(tǒng)輸出日志如下:

        NAT44設(shè)備:輸出用戶私網(wǎng)地址、私網(wǎng)端口號、源公網(wǎng)地址、源公網(wǎng)端口號、上下線時間;

        AAA系統(tǒng):輸出用戶賬號、私網(wǎng)地址、私網(wǎng)端口號、上下線時間;

        DPI系統(tǒng):輸出用戶源公網(wǎng)地址、源公網(wǎng)地址端口號、目的公網(wǎng)地址、目的公網(wǎng)地址端口號、URL地址、上下線時間。

        為實現(xiàn)日志的精確合成,所有系統(tǒng)必須從同一時鐘源獲取基準(zhǔn)時間。

        NAT日志系統(tǒng)(Log Server),負(fù)責(zé)采集并解析以上三類日志,根據(jù)三類日志中兩兩共有的諸如IP地址、端口號、起止時間等關(guān)鍵字段將三者關(guān)聯(lián)生成用戶上網(wǎng)完整記錄,并提供相應(yīng)查詢服務(wù)。

        其工作流程如下圖:

        圖5 NAT日志系統(tǒng)(Log Server)工作原理

        4.2 日志輸出方式建議

        NAT44設(shè)備輸出日志分為會話(Session)級和用戶級(PBA),兩者區(qū)別在于:

        在session級的日志輸出中,每新建一個session觸發(fā)日志信息輸出,拆除session時也會觸發(fā)日志信息輸出。

        在用戶級(PBA)的日志輸出中,用戶新建第一個session時,發(fā)送一個日志消息,拆除用戶最后一個session或所有會話維持時間超出老化時間時,再發(fā)送一個日志消息,而中間無論新建和拆除session均不發(fā)送日志消息。

        Session級為傳統(tǒng)方案,一般的防火墻均可實現(xiàn),但若應(yīng)用在電信運營商網(wǎng)絡(luò)中則有較大問題,Session級日志會產(chǎn)生巨大的日志量,例如以1萬用戶為例:

        采用Session級日志輸出:根據(jù)某運營商現(xiàn)網(wǎng)統(tǒng)計,單用戶平均產(chǎn)生會話為20個/秒,用戶平均在線率為50%,則一天24小時會產(chǎn)生24*3600*20*0.5=8,640,000萬條日志;

        采用用戶級(PBA)日志輸出:同樣根據(jù)某運營商現(xiàn)網(wǎng)統(tǒng)計,單用戶每天上線次數(shù)均為4次,則一天24小時僅產(chǎn)生4*2=8萬條日志。

        由此可看出,采用Session級方式的日志量是用戶級的11萬倍,差距非常大。根據(jù)工信部相關(guān)要求,日志需留存60天,為節(jié)省大量存儲設(shè)備投資,建議電信運營商應(yīng)采用用戶級(PBA)日志方案,在網(wǎng)絡(luò)規(guī)劃階段提前做好技術(shù)要求,并購置支持用戶級(PBA)日志輸出的NAT44設(shè)備。

        五、結(jié)束語

        運營級NAT44系統(tǒng)是當(dāng)前電信運營商解決IPv4地址不足的唯一途徑,它不僅僅是幾臺NAT設(shè)備,而是一個完整的體系,通過對NAT44設(shè)備、用戶溯源系統(tǒng)的合理部署以及網(wǎng)絡(luò)路由的合理規(guī)劃,不僅能有效解決運營商業(yè)務(wù)發(fā)展中IP地址瓶頸,同時也能很好地解決NAT部署所帶來的各種安全問題。

        猜你喜歡
        IP地址
        鐵路遠(yuǎn)動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
        IP地址便捷修改器
        IP地址切換器(IPCFG)
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        公安網(wǎng)絡(luò)中IP地址智能管理的研究與思考
        通過PE查電腦IP地址
        《IP地址及其管理》教學(xué)設(shè)計
        計算機的網(wǎng)絡(luò)身份IP地址
        淺談解決DHCP動態(tài)更改IP地址問題
        黑客入門必讀:網(wǎng)絡(luò)隱身術(shù)
        97在线观看视频| 痴汉电车中文字幕在线| 精品久久久久久无码中文野结衣| 色哟哟网站在线观看| 亚洲一级无码片一区二区三区| 国产精品女同一区二区久| 国产91成人精品高潮综合久久| 日产精品久久久一区二区| 亚洲精品国偷拍自产在线观看蜜臀| 亚州毛色毛片免费观看| 人妻中文字幕在线一二区| 亚洲av色欲色欲www| 亚洲精品成人区在线观看| 精品少妇爆乳无码aⅴ区| 亚洲人妻av综合久久| 日韩精品人成在线播放| 性一交一乱一伦一色一情孩交 | 婷婷第四色| 蜜桃成人精品一区二区三区| 99国产精品久久久久久久成人热| 日日噜狠狠噜天天噜av| 神马不卡一区二区三级| 亚洲精品国产av成拍| 一本丁香综合久久久久不卡网站| 无遮挡边吃摸边吃奶边做| 韩国三级大全久久网站| 国产成人国产三级国产精品| 少妇粉嫩小泬喷水视频www| www.狠狠艹| av资源在线播放网站| 国产高颜值女主播在线| 自拍偷自拍亚洲精品情侣| 日本高清色惰www在线视频| 亚洲天堂av黄色在线观看| av永久天堂一区二区三区| 欧美日韩中文制服有码| 偷拍与自偷拍亚洲精品| 极品粉嫩嫩模大尺度无码视频| 欧美亚洲日韩国产人成在线播放| 无码啪啪熟妇人妻区| av网站在线观看亚洲国产|